Configuración de un servidor L2TP/IPsec detrás de un dispositivo NAT-T

En este artículo se describe cómo configurar un servidor L2TP/IPsec detrás de un dispositivo NAT-T.

Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 926179

Resumen

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

De forma predeterminada, Windows Vista y Windows Server 2008 no admiten asociaciones de seguridad de direcciones de red de traducción de direcciones de protocolo de Internet (IPsec) (NAT) traversal (NAT-T) en servidores que se encuentran detrás de un dispositivo NAT. Si el servidor de red privada virtual (VPN) está detrás de un dispositivo NAT, un equipo cliente VPN basado en Windows Vista o Windows Server 2008 no puede establecer una conexión de protocolo de tunelización de nivel 2 (L2TP)/IPsec con el servidor VPN. Este escenario incluye servidores VPN que ejecutan Windows Server 2008 y Windows Server 2003.

Debido a la forma en que los dispositivos NAT traducen el tráfico de red, puede experimentar resultados inesperados en el siguiente escenario:

  • Coloca un servidor detrás de un dispositivo NAT.
  • Use un entorno NAT-T de IPsec.

Si debe usar IPsec para la comunicación, use direcciones IP públicas para todos los servidores a los que puede conectarse desde Internet. Si debe colocar un servidor detrás de un dispositivo NAT y, a continuación, usar un entorno NAT-T de IPsec, puede habilitar la comunicación cambiando un valor del Registro en el equipo cliente VPN y el servidor VPN.

Establecer la clave del Registro AssumeUDPEncapsulationContextOnSendRule

Para crear y configurar el valor del Registro AssumeUDPEncapsulationContextOnSendRule , siga estos pasos:

  1. Inicie sesión en el equipo cliente de Windows Vista como un usuario que sea miembro del grupo Administradores.

  2. Seleccione Iniciar>todos los accesorios de programas>>Ejecutar, escriba regedit y, a continuación, seleccione Aceptar. Si el cuadro de diálogo Control de cuentas de usuario se muestra en la pantalla y le pide que eleve el token de administrador, seleccione Continuar.

  3. Busque la siguiente subclave del Registro y selecciónela:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

    Nota:

    También puede aplicar el valor de DWORD AssumeUDPEncapsulationContextOnSendRule a un equipo cliente VPN basado en Microsoft Windows XP Service Pack 2 (SP2). Para ello, busque y seleccione la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec subclave del Registro.

  4. En el menú Editar, seleccione Nuevo y, a continuación, seleccione Valor DWORD (32 bits).

  5. Escriba AssumeUDPEncapsulationContextOnSendRule y presione ENTRAR.

  6. Haga clic con el botón derecho en AssumeUDPEncapsulationContextOnSendRule y seleccione Modificar.

  7. En el cuadro Datos de valor , escriba uno de los siguientes valores:

    • 0

      Es el valor predeterminado. Cuando se establece en 0, Windows no puede establecer asociaciones de seguridad con servidores ubicados detrás de dispositivos NAT.

    • 1

      Cuando se establece en 1, Windows puede establecer asociaciones de seguridad con servidores que se encuentran detrás de dispositivos NAT.

    • 2

      Cuando se establece en 2, Windows puede establecer asociaciones de seguridad cuando el servidor y el equipo cliente VPN (basado en Windows Vista o Windows Server 2008) están detrás de los dispositivos NAT.

  8. Seleccione Aceptar y, a continuación, salga del registro Editor.

  9. Reinicie el equipo.